警惕！MFA通过后，攻击者已在你的网络中横行

每一次多因素认证（MFA）检查都顺利通过，每一次登录都显示为合法操作，合规性仪表盘上所有身份控制指标都呈现绿色。然而，攻击者早已潜入系统，正利用一个有效的会话令牌在活动目录中横向移动，逐步提升权限，目标直指域控制器。

这正是许多企业投入巨资加强认证后面临的现实。凭证是真实的，多因素挑战也回答正确，系统完美地执行了设计功能——它验证了用户身份，然后就“失明”了。入侵并未绕过MFA，而是在MFA成功之后才开始的。

认证只是在某一时刻确认了身份，之后便不再关注。随后的所有操作——横向移动、权限提升、通过活动目录进行的静默数据外泄——都超出了MFA的设计监控范围。

一位CIO在生产环境中发现了这一漏洞

NOV公司的首席信息官Alex Philips通过运营测试发现了这个缺口。“我们发现自己在资源级别撤销合法身份会话令牌的能力上存在不足。重置密码已经不够了。你必须立即撤销会话令牌，才能阻止横向移动，”他告诉VentureBeat。

Philips发现的并非配置错误，而是存在于几乎所有企业身份栈中的架构盲点。一旦用户认证成功，生成的会话令牌就会携带这份信任继续前行，而无需再次验证。该令牌成为了一种“持票人凭证”，无论持有者是攻击者还是员工，都将继承与该会话相关的所有权限。NOV的调查证实，身份会话令牌被盗是他们追踪到的最先进攻击的传播途径，这促使团队从根本上加强身份策略、强制执行条件访问，并构建快速令牌撤销机制。

根据CrowdStrike的2026年《全球威胁报告》，2025年网络犯罪的平均突破时间已缩短至29分钟，最快记录为27秒。在2025年的82%的检测中，根本没有部署任何恶意软件。当攻击者拥有会话令牌时，他们就不需要利用漏洞了。

攻击者不再写恶意软件，因为窃取的身份更有效

“攻击者已经发现，进入环境最快的方式之一是窃取合法凭证或利用社会工程学，”CrowdStrike反对手方行动高级副总裁Adam Meyers告诉VentureBeat。其经济逻辑非常残酷：现代端点检测提高了部署恶意软件的成本和风险。相比之下，一个被盗的凭证不会触发任何警报，不匹配任何签名，并且继承了真实用户所拥有的所有访问权限。

根据CrowdStrike的2025年《全球威胁报告》，2024年上半年的语音钓鱼攻击在下半年激增了442%。同时，根据Pindrop的2025年《语音智能与安全报告》，深度伪造欺诈尝试在2024年增长了超过1,300%。同一份报告引用的数据显示，换脸攻击在2023年增长了704%。CrowdStrike 2025年《全球威胁报告》中引用的一项2024年研究发现，AI生成的钓鱼邮件与专家精心制作的真人钓鱼邮件的点击率相当，均为54%，两者均远超12%的普通群发钓鱼邮件。

威胁并非AI让单个攻击者变得更危险，而是AI让每个攻击者都能以近乎零边际成本获得专家级的社会工程学能力。凭证供应链现在以工业规模运作。

身份与访问管理（IAM）和安全运营（SecOps）之间的断层，是会话令牌的“死亡地带”

Gartner在2024年的一份报告中预测，到2026年，30%的企业将不再认为基于面部识别的身份验证和生物识别解决方案是可靠的，因为AI生成的深度伪造。Riemer引用了Ivanti自己的《2026年网络安全状况报告》来量化这一差距。该报告对超过1200名安全专业人士进行了调查，发现威胁与防御之间的准备差距在一年内平均扩大了10个百分点。

IEEE高级会员Kayne McGladrey从商业角度阐述了这种组织上的失败。“任何看似与网络安全相关的事情，通常都被归入网络安全风险类别，这是一个完全的虚构。他们应该关注业务风险，因为如果它不影响业务，比如财务损失，那么就没有人会关注它，他们也不会为此分配适当的预算，也不会投入足够的控制措施来预防它，”McGladrey告诉VentureBeat。这种逻辑解释了为什么会话治理、令牌生命周期管理和跨域身份关联会落入IAM和SecOps之间的断层。没有人负责，因为没有人将其视为业务损失。

“你可能在身份端、云端和端点上只看到入侵的片段。你需要跨域的可见性，因为阻止这些入侵的最佳情况是给你大约29分钟的时间，”Meyers告诉VentureBeat。

Ivanti的现场首席信息安全官Mike Riemer在二十年来不断变化的范式演变中目睹了这种脱节。“在我验证你之前，我并不认识你。在我了解它是什么以及键盘另一边是谁之前，我不会与它进行通信，直到他们让我有能力理解是谁。”Riemer告诉VentureBeat。

这个问题直接适用于认证后的会话。如果攻击者利用AI伪造身份通过MFA，防御者就需要AI来监控该身份在通过后的行为。Riemer更广泛的观点是，将安全边界设置在单一的登录事件上，就等于邀请每一个通过这道门的攻击者“在房子里为所欲为”。

NOV公司填补了这一空白，但大多数企业尚未起步

“这为我们提供了一个强制性的安全策略执行网关。在扁平网络上，用户和攻击者可以使用被盗的身份会话令牌，但通过零信任网关，它强制执行条件访问和信任的重新验证，”Philips告诉VentureBeat。

NOV公司缩短了令牌的生命周期，构建了要求多个条件的条件访问，并强制执行职责分离，确保没有任何个人或服务账户可以重置密码、绕过多因素访问或覆盖条件访问。“我们大幅减少了能够执行密码或多因素重置的人员。任何人都不能绕过这些控制，”Philips告诉VentureBeat。他们部署AI分析SIEM日志，以近乎实时地识别事件，并引入了一家初创公司，专门为其最关键的资源构建快速令牌撤销功能。

Philips还指出了一个大多数团队都会忽视的信任链脆弱性。“鉴于AI的进步，你已经无法信任语音、视频甚至写作风格，因此你必须拥有预先共享的秘密，或者能够验证一个只有你和对方才知道的问题，”他告诉VentureBeat。

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://venturebeat.com/security/mfa-verifies-who-logged-in-it-has-no-idea-what-they-do-next